Getty Images Los phishers están usando una técnica novedosa para engañar a los usuarios de iOS y Android para que instalen aplicaciones maliciosas que eluden las barreras de seguridad creadas tanto por Apple como por Google para evitar aplicaciones no autorizadas. Ambos sistemas operativos móviles emplean mecanismos diseñados para ayudar a los usuarios a mantenerse alejados de las aplicaciones que roban su información personal, contraseñas u otros datos confidenciales. iOS prohíbe la instalación de todas las aplicaciones que no estén disponibles en su App Store, un enfoque ampliamente conocido como Walled Garden. Android, por su parte, está configurado de forma predeterminada para permitir solo las aplicaciones disponibles en Google Play. La carga lateral (o la instalación de aplicaciones de otros mercados) debe permitirse manualmente, algo contra lo que Google advierte. Cuando las aplicaciones nativas no lo están Las campañas de phishing que circulan en los últimos nueve meses están utilizando formas nunca antes vistas de eludir estas protecciones. El objetivo es engañar a las víctimas para que instalen una aplicación maliciosa que se hace pasar por una oficial del banco de las víctimas. Una vez instalada, la aplicación maliciosa roba las credenciales de la cuenta y las envía al atacante en tiempo real a través de Telegram. “Esta técnica es notable porque instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de la aplicación de terceros”, escribió el martes Jakub Osmani, analista de la empresa de seguridad ESET. “Para los usuarios de iOS, una acción de este tipo podría romper cualquier suposición de ‘jardín amurallado’ sobre seguridad. En Android, esto podría resultar en la instalación silenciosa de un tipo especial de APK, que en una inspección más detallada incluso parece haber sido instalado desde la tienda Google Play”. El novedoso método consiste en atraer a los objetivos para que instalen un tipo especial de aplicación conocida como Progressive Web App. Estas aplicaciones se basan únicamente en estándares web para ofrecer funcionalidades que tienen la sensación y el comportamiento de una aplicación nativa, sin las restricciones que conllevan. La dependencia de los estándares web significa que las PWA, como se las abrevia, en teoría funcionarán en cualquier plataforma que ejecute un navegador compatible con los estándares, lo que las hace funcionar igualmente bien en iOS y Android. Una vez instaladas, los usuarios pueden agregar PWA a su pantalla de inicio, lo que les da una sorprendente similitud con las aplicaciones nativas. Si bien las PWA pueden aplicarse tanto a iOS como a Android, la publicación de Osmani usa PWA para aplicarlas a aplicaciones iOS y WebAPK a aplicaciones Android. Ampliar / PWA de phishing instalada (izquierda) y aplicación bancaria real (derecha). ESET Ampliar / Comparación entre una WebAPK de phishing instalada (izquierda) y una aplicación bancaria real (derecha). ESET El ataque comienza con un mensaje enviado por mensaje de texto, llamada automatizada o mediante un anuncio malicioso en Facebook o Instagram. Cuando las víctimas hacen clic en el enlace del mensaje fraudulento, abren una página que se parece a la App Store o Google Play. Ejemplo de un anuncio malicioso utilizado en estas campañas. ESET Página de destino de phishing que imita a Google Play. ESET Osmani de ESET continuó: Desde aquí se les pide a las víctimas que instalen una «nueva versión» de la aplicación bancaria; Un ejemplo de esto se puede ver en la Figura 2. Dependiendo de la campaña, al hacer clic en el botón de instalación/actualización se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (solo para usuarios de Android) o como PWA para usuarios de iOS y Android (si la campaña no está basada en WebAPK). Este paso crucial de instalación pasa por alto las advertencias tradicionales del navegador de «instalar aplicaciones desconocidas»: este es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que es abusada por los atacantes. Ejemplo de página de instalación de imitación. ESET El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada instruye a las víctimas sobre cómo agregar la PWA de phishing a su pantalla de inicio (ver Figura 3). La ventana emergente copia el aspecto de las indicaciones nativas de iOS. Al final, incluso los usuarios de iOS no son advertidos sobre la adición de una aplicación potencialmente dañina a su teléfono. Figura 3 Instrucciones emergentes de iOS después de hacer clic en «Instalar» (crédito: Michal Bláha)ESET Después de la instalación, se les solicita a las víctimas que envíen sus credenciales de banca por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información enviada se envía a los servidores C&C de los atacantes. La técnica se vuelve aún más efectiva porque la información de la aplicación asociada con los WebAPK mostrará que se instalaron desde Google Play y no se les asignaron privilegios del sistema. Menú de información de WebAPK: observe «Sin permisos» en la parte superior y la sección «Detalles de la aplicación en la tienda» en la parte inferior.ESET Hasta ahora, ESET está al tanto de la técnica que se usa contra clientes de bancos principalmente en Chequia y menos en Hungría y Georgia. Los ataques utilizaron dos infraestructuras de comando y control distintas, una indicación de que dos grupos de amenazas diferentes están usando la técnica. «Esperamos que se creen y distribuyan más aplicaciones de imitación, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing», dijo Osmani.